En 2025, le Droit à l'effacement conformément à l'article 17 du RGPD au centre d'un examen paneuropéen des autorités de contrôle de la protection des données. Dans le cadre du Cadre d'application coordonné (CEF) du Comité européen de la protection des données (CEPD), les entreprises et les organismes publics sont passés au crible. Il est donc urgent pour les responsables de se préparer stratégiquement à d'éventuelles mesures de contrôle dans le cadre de l'action 2025 du CEF.
Quel est l'objectif de l'action CEF 2025 ?
L'action CEF 2025 a pour objectif de promouvoir une mise en œuvre uniforme et efficace dans toute l'UE du droit à l'effacement prévu à l'article 17 du RGPD. L'accent est mis sur la question de savoir si et comment les responsables mettent en œuvre ce droit central des personnes concernées dans la pratique. L'initiative de contrôle coordonnée ne sert pas seulement au contrôle, mais aussi à l'échange d'expériences entre les autorités de contrôle et à la sensibilisation des entreprises et des organismes publics aux exigences en matière de protection des données.
Le choix du thème du "droit à l'effacement" pour l'année 2025 est particulièrement pertinent, car il fait partie des droits des personnes concernées les plus fréquemment invoqués et représente en même temps un défi opérationnel considérable pour les responsables. Il ne s'agit pas seulement de répondre aux demandes d'effacement, mais aussi d'ancrer structurellement les processus d'effacement dans les systèmes informatiques, les processus de travail et les structures de conformité. Il s'agit d'examiner dans quelle mesure les responsables
- traiter correctement et efficacement les demandes de suppression
- Appliquer correctement les exceptions au droit de suppression,
- mettre en œuvre systématiquement des concepts internes d'effacement
- et informer les personnes concernées de manière transparente.
Les autorités de contrôle de la protection des données participantes utilisent des questionnaires standardisés dans toute l'Europe afin d'obtenir des résultats comparables. Ceux-ci peuvent être complétés par des entretiens approfondis, des analyses de documents ou des audits sur place. L'objectif est de rassembler les résultats à l'issue des audits, d'identifier les points faibles systématiques et, le cas échéant, d'élaborer des recommandations ou des lignes directrices à l'intention des responsables.
Les résultats obtenus sont évalués et publiés de manière centralisée.
Droit à l'effacement selon les articles 17 et 19 du RGPD
Le droit à l'effacement est prévu dans Art. 17 RGPD et fait partie des principaux droits des personnes concernées. Il oblige le responsable du traitement à effacer immédiatement les données à caractère personnel dans certaines conditions.
- 17, paragraphe 1 du RGPD cite les conditions matérielles d'un droit à l'effacement. Il s'agit notamment de la finalité (les données ne sont plus nécessaires aux fins initiales), de la révocation d'un consentement, de l'opposition au traitement conformément à l'article 21 du RGPD, d'un traitement illicite ou d'obligations légales d'effacement.
- 17, paragraphe 3 du RGPD réglemente les exceptions au droit à l'effacement. Il s'agit notamment des obligations légales de conservation, des intérêts publics prépondérants, des fins d'archivage dans l'intérêt public et de la constatation, de l'exercice ou de la défense de droits en justice. Dans la pratique, ces exceptions doivent être soigneusement examinées et documentées afin de résister à un contrôle prudentiel.
- 19 RGPD oblige en outre les responsables à informer tous les destinataires auxquels des données à caractère personnel ont été divulguées de l'effacement effectué, à moins que cela ne s'avère impossible ou n'implique un effort disproportionné. Cette obligation d'information contribue à garantir la portée du droit à l'effacement également en cas de transmission de données.
Un aspect souvent sous-estimé est le lien étroit avec le Droit d'opposition selon l'article 21 du RGPDnotamment en ce qui concerne la publicité directe. Une opposition recevable conduit souvent directement à un droit à l'effacement, de sorte que les deux droits doivent être pensés et mis en œuvre ensemble dans la pratique.
Pertinence de l'action CEF 2025 pour les entreprises et les pouvoirs publics
L'action CEF 2025 pose des défis aux entreprises et aux organismes publics, en particulier lorsqu'ils traitent régulièrement des données à caractère personnel. Presque tous les secteurs sont concernés, de la santé aux prestataires de services financiers et d'assurance, en passant par les fournisseurs de commerce électronique et les autorités publiques. Les cabinets d'avocats ont également déjà reçu des questionnaires.
L'absence ou l'insuffisance de mise en œuvre de processus de suppression systématiques constitue un facteur de risque. De nombreuses organisations disposent certes de politiques qui mentionnent le droit à l'effacement, mais échouent dans leur mise en œuvre pratique. Souvent, les systèmes ne sont pas en mesure d'effacer complètement les données ou il n'existe pas de responsabilités claires pour le traitement des demandes d'effacement. À cela s'ajoute le fait que les exceptions prévues à l'article 17, paragraphe 3, du RGPD, telles que les délais de conservation légaux ou les intérêts légitimes, ne sont pas proprement documentées ou sont appliquées de manière trop globale.
En outre, les organisations sont de plus en plus tenues de prouver aux personnes concernées et aux autorités de contrôle que les demandes d'effacement ont été traitées dans les délais, de manière compréhensible et conformément à la protection des données. Dans le cadre de l'action CEF 2025, les autorités demandent ces preuves de manière ciblée. Cela concerne aussi bien les processus internes que la collaboration avec les prestataires de services externes et les sous-traitants.
Conseil de lecture : Gestion intégrée des risques dans la pratique - combiner protection des données, conformité et sécurité
Sept recommandations stratégiques pour se préparer
- Vérifier la capacité d'effacement : Les responsables devraient procéder à un inventaire systématique de tous les systèmes de traitement des données. Il faut documenter clairement l'endroit où les données sont stockées et si elles peuvent être entièrement effacées, y compris dans le contexte des sauvegardes ou des services en nuage.
- Définir un concept de suppression et des délais : Un concept d'effacement interne doit définir clairement quelles données à caractère personnel doivent être effacées et à quel moment. Les obligations légales de conservation (p. ex. HGB, AO, SGB) doivent être prises en compte, tout comme les exigences spécifiques au secteur.
- Mettre à jour le registre des activités de traitement (VVT) : Le VVT doit contenir des informations sur les délais de conservation et de suppression, les finalités du traitement et les responsabilités. Il sert de document de preuve central dans le cadre de l'audit CEF.
- Garantir la transparence vis-à-vis des personnes concernées : Les déclarations de protection des données devraient présenter le droit à l'effacement de manière compréhensible. Parallèlement, il convient d'établir un processus structuré pour le traitement des demandes - y compris des modèles de réponse standardisés, y compris pour les refus dans des cas exceptionnels.
- Clarifier les formations et les responsabilités : Les collaborateurs occupant des fonctions liées à la protection des données - en particulier dans l'informatique, les RH et le service clientèle - devraient être formés régulièrement. Les responsabilités et les voies d'escalade en cas de demandes de suppression devraient être clairement définies en interne.
- Vérifier les contrats avec les sous-traitants : Les contrats de sous-traitance doivent contenir des règles claires sur l'effacement des données, notamment après la fin du contrat. En outre, il faut s'assurer que les sous-traitants sont eux-mêmes tenus de procéder à un effacement complet et qu'ils peuvent le documenter.
- Préparation aux demandes des autorités : il est recommandé de procéder à des concertations internes précoces avec les responsables de la protection des données et les responsables de la conformité. Il convient de définir un point de contact central pour les demandes de protection des données, qui puisse réagir rapidement en cas d'audit du CEF.
Questions typiques sur l'action CEF 2025 et le self-check
Le commissaire à la protection des données et à la liberté d'information du Land de Bade-Wurtemberg a mis en ligne le questionnaire de l'action européenne sur le droit à l'effacement. Les questions typiques sont par exemple
- "Comment votre organisation évalue-t-elle que les données à caractère personnel (qui font l'objet d'une demande d'effacement) ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière (article 17, paragraphe 1, point a), du RGPD) ?"
- "Comment votre organisation procède-t-elle lorsque la personne concernée retire son consentement (article 17, paragraphe 1, point b), du RGPD) ?"
- "Comment votre organisation procède-t-elle lorsque la personne concernée s'oppose au traitement (article 17, paragraphe 1, point c), du RGPD) ?"
- "En cas de demande d'effacement sur la base de l'article 17, paragraphe 1, point c), du RGPD, votre organisation a-t-elle déjà refusé d'effacer des données sur la base de ses "motifs légitimes prépondérants pour le traitement" ? Comment comprenez-vous la notion de "motifs légitimes prépondérants" et comment ces motifs sont-ils conciliés avec les intérêts, les droits et les libertés des personnes concernées ? Veuillez décrire en détail les cas que vous avez rencontrés, y compris les mises en balance effectuées dans chaque cas".
Conseil de lien : Self-Check en ligne sur l'article 17 du RGPD du commissaire à la protection des données et à la liberté d'information du Land de Bade-Wurtemberg
Les entreprises peuvent donc se préparer de manière ciblée à l'action de contrôle.
Si vous avez besoin d'aide pour la mise en œuvre d'un concept d'effacement ou si vous souhaitez identifier d'éventuels points faibles et y remédier de manière ciblée, n'hésitez pas à nous contacter. Nos experts en protection des données vous aideront.
☎️ +49 (228) 926165-100
📧 paris@2b-advice.com
French 
German 
English 
Italian